Verwalten von Risiken mit zusätzlicher mehrstufiger Authentifizierung für vertrauliche Anwendungen

2025-06-21
Gilt für:: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Einrichten der Lab-Umgebung für AD FS in Windows Server 2012 R2
Exemplarische Vorgehensweise: Verwalten von Risiken mit zusätzlicher mehrstufiger Authentifizierung für vertrauliche Anwendungen
Konfigurieren zusätzlicher Authentifizierungsmethoden für AD FS

Inhalt dieser Anleitung

Dieses Handbuch enthält die folgenden Informationen:

Authentifizierungsmechanismen in AD FS – Beschreibung der Authentifizierungsmechanismen, die in Active Directory-Verbunddiensten (AD FS) in Windows Server 2012 R2 verfügbar sind
Szenarioübersicht – eine Beschreibung eines Szenarios, in dem Sie Active Directory-Verbunddienste (AD FS) verwenden, um die mehrstufige Authentifizierung (MFA) basierend auf der Gruppenmitgliedschaft des Benutzers zu aktivieren.

Hinweis

In AD FS in Windows Server 2012 R2 können Sie MFA basierend auf dem Netzwerkstandort, der Geräteidentität und der Benutzeridentität oder der Gruppenmitgliedschaft aktivieren.

Ausführliche schrittweise Anleitungen zum Konfigurieren und Überprüfen dieses Szenarios finden Sie unter Exemplarische Vorgehensweise: Verwalten von Risiken mit zusätzlicher mehrstufiger Authentifizierung für vertrauliche Anwendungen.

Schlüsselkonzepte – Authentifizierungsmechanismen in AD FS

Vorteile von Authentifizierungsmechanismen in AD FS

Active Directory-Verbunddienste (AD FS) in Windows Server 2012 R2 bietet IT-Administratoren eine umfangreichere, flexiblere Gruppe von Tools für die Authentifizierung von Benutzern, die auf Unternehmensressourcen zugreifen möchten. Es ermöglicht Administratoren die flexible Kontrolle über die primären und zusätzlichen Authentifizierungsmethoden, bietet eine umfassende Verwaltungsoberfläche zum Konfigurieren von Authentifizierungsrichtlinien (sowohl über die Benutzeroberfläche als auch windows PowerShell) und verbessert die Benutzererfahrung für die Endbenutzer, die auf Anwendungen und Dienste zugreifen, die durch AD FS gesichert sind. Im Folgenden sind einige der Vorteile der Sicherung Ihrer Anwendung und Dienste mit AD FS in Windows Server 2012 R2 aufgeführt:

Globale Authentifizierungsrichtlinie – eine zentrale Verwaltungsfunktion, über die ein IT-Administrator auswählen kann, welche Authentifizierungsmethoden verwendet werden, um Benutzer basierend auf dem Netzwerkspeicherort zu authentifizieren, von dem aus sie auf geschützte Ressourcen zugreifen. Auf diese Weise können Administratoren Folgendes ausführen:
- Mandat für die Verwendung sichererer Authentifizierungsmethoden für Zugriffsanforderungen aus dem Extranet.
- Aktivieren Sie die Geräteauthentifizierung für die nahtlose zweitstufige Authentifizierung. Dadurch wird die Identität des Benutzers mit dem registrierten Gerät verknüpft, das für den Zugriff auf die Ressource verwendet wird, wodurch eine sicherere Verbundidentitätsüberprüfung geboten wird, bevor auf geschützte Ressourcen zugegriffen wird.
  
  Hinweis
  
  Weitere Informationen zu Geräteobjekt, Geräteregistrierungsdienst, Arbeitsplatzbeitritt und Gerät für die nahtlose zweistufige Authentifizierung und SSO finden Sie unter Arbeitsplatzbeitritt von einem beliebigen Gerät für SSO und nahtlose zweistufige Authentifizierung bei allen Unternehmensanwendungen.
- Legen Sie die MFA-Anforderung für den gesamten Extranetzugriff oder bedingt basierend auf der Identität, dem Netzwerkstandort oder einem Gerät fest, das für den Zugriff auf geschützte Ressourcen verwendet wird.
Größere Flexibilität beim Konfigurieren von Authentifizierungsrichtlinien: Sie können benutzerdefinierte Authentifizierungsrichtlinien für AD FS-gesicherte Ressourcen mit unterschiedlichen Geschäftswerten konfigurieren. Sie können z. B. MFA für Anwendungen mit hoher geschäftlicher Auswirkung vorschreiben.
Benutzerfreundlichkeit: Einfache und intuitive Verwaltungstools wie das GUI-basierte AD FS Management MMC-Snap-In und die Windows PowerShell-Cmdlets ermöglichen IT-Administratoren die Konfiguration von Authentifizierungsrichtlinien relativ einfach. Mit Windows PowerShell können Sie Ihre Lösungen für die Verwendung im großen Maßstab und zum Automatisieren von mundanen Administrativen Aufgaben erstellen.
Größere Kontrolle über Unternehmensressourcen: Da Sie als Administrator AD FS verwenden können, um eine Authentifizierungsrichtlinie zu konfigurieren, die für eine bestimmte Ressource gilt, haben Sie eine bessere Kontrolle darüber, wie Unternehmensressourcen gesichert werden. Anwendungen können die von IT-Administratoren angegebenen Authentifizierungsrichtlinien nicht außer Kraft setzen. Bei vertraulichen Anwendungen und Diensten können Sie die MFA-Anforderung, die Geräteauthentifizierung und optional die frische Authentifizierung jedes Mal aktivieren, wenn auf die Ressource zugegriffen wird.
Unterstützung für benutzerdefinierte MFA-Anbieter: Für Organisationen, die MFA-Methoden von Drittanbietern nutzen, bietet AD FS die Möglichkeit, diese Authentifizierungsmethoden nahtlos zu integrieren und zu verwenden.

Authentifizierungsbereich

In AD FS in Windows Server 2012 R2 können Sie eine Authentifizierungsrichtlinie auf globaler Ebene angeben, die für alle Anwendungen und Dienste gilt, die durch AD FS gesichert sind. Sie können auch Authentifizierungsrichtlinien für bestimmte Anwendungen und Dienste festlegen (vertrauende Parteienvertrauensstellungen), die durch AD FS gesichert sind. Wenn Sie eine Authentifizierungsrichtlinie für eine bestimmte Anwendung (pro Vertrauensstellung der vertrauenden Seite) angeben, wird dadurch nicht die globale Authentifizierungsrichtlinie außer Kraft gesetzt. Wenn von der globalen Authentifizierungsrichtlinie oder der pro Vertrauensstellung der vertrauenden Seite geltenden Authentifizierungsrichtlinie die MFA angefordert wird, wird die MFA ausgelöst, wenn der Benutzer versucht, sich für diese Vertrauensstellung der vertrauenden Seite zu authentifizieren. Die globale Authentifizierungsrichtlinie dient als Fallback für Vertrauensstellungen der vertrauenden Seite (Anwendungen und Dienste), für die keine spezielle Authentifizierungsrichtlinie konfiguriert wurde.

Eine globale Authentifizierungsrichtlinie gilt für alle vertrauenden Parteien, die von AD FS gesichert sind. Sie können die folgenden Einstellungen als Teil der globalen Authentifizierungsrichtlinie konfigurieren:

Für die primäre Authentifizierung zu verwendende Authentifizierungsmethoden
Einstellungen und Methoden für die MFA
Gibt an, ob die Geräteauthentifizierung aktiviert ist. Weitere Informationen finden Sie unter "Von jedem Gerät aus zum Arbeitsplatz verbinden für SSO und nahtlose Zwei-Faktor-Authentifizierung über Unternehmensanwendungen".

Authentifizierungsrichtlinien für Vertrauensstellungen der vertrauenden Seite gelten speziell bei Versuchen, auf die Vertrauensstellung der vertrauenden Seite (Anwendung oder Dienst) zuzugreifen. Sie können die folgenden Einstellungen als Teil der Vertrauensauthentifizierungsrichtlinie für vertrauenswürdige Parteien konfigurieren:

Gibt an, ob Benutzer ihre Anmeldeinformationen bei jeder Anmeldung angeben müssen.
MFA-Einstellungen basierend auf Benutzern/Gruppen, Geräteregistrierung und Standortdaten von Zugriffsanforderungen

Primäre und zusätzliche Authentifizierungsmethoden

Mit AD FS in Windows Server 2012 R2 können Administratoren zusätzlich zum primären Authentifizierungsmechanismus zusätzliche Authentifizierungsmethoden konfigurieren. Primäre Authentifizierungsmethoden sind integriert und sollen die Identitäten der Benutzer überprüfen. Sie können zusätzliche Authentifizierungsfaktoren konfigurieren, um anzufordern, dass weitere Informationen zur Identität des Benutzers bereitgestellt werden und somit eine stärkere Authentifizierung gewährleisten.

Bei der primären Authentifizierung in AD FS in Windows Server 2012 R2 haben Sie die folgenden Optionen:

Um von außerhalb des Unternehmensnetzwerks auf veröffentlichte Ressourcen zuzugreifen, ist die Formularauthentifizierung standardmäßig ausgewählt. Darüber hinaus können Sie auch die Zertifikatauthentifizierung aktivieren (also smartcardbasierte Authentifizierung oder Benutzerclientzertifikatauthentifizierung, die mit AD DS funktioniert).
Für Intranetressourcen ist die Windows-Authentifizierung standardmäßig aktiviert. Darüber hinaus können Sie auch Formulare und/oder Zertifikatauthentifizierung aktivieren.

Wenn Sie mehr als eine Authentifizierungsmethode auswählen, können Ihre Benutzer auswählen, mit welcher Methode sie sich auf der Anmeldeseite für Ihre Anwendung oder Ihren Dienst authentifizieren können.

Sie können auch die Geräteauthentifizierung für die nahtlose zweitstufige Authentifizierung aktivieren. Dadurch wird die Identität des Benutzers mit dem registrierten Gerät verknüpft, das für den Zugriff auf die Ressource verwendet wird, wodurch eine sicherere Verbundidentitätsüberprüfung geboten wird, bevor auf geschützte Ressourcen zugegriffen wird.

Hinweis

Weitere Informationen zu Geräteobjekt, Geräteregistrierungsdienst, Arbeitsplatzbeitritt und Gerät für die nahtlose zweistufige Authentifizierung und SSO finden Sie unter Arbeitsplatzbeitritt von einem beliebigen Gerät für SSO und nahtlose zweistufige Authentifizierung bei allen Unternehmensanwendungen.

Wenn Sie die Windows-Authentifizierungsmethode (Standardoption) für Ihre Intranetressourcen angeben, durchlaufen Authentifizierungsanforderungen diese Methode nahtlos in Browsern, die die Windows-Authentifizierung unterstützen.

Hinweis

Die Windows-Authentifizierung wird in allen Browsern nicht unterstützt. Der Authentifizierungsmechanismus in AD FS in Windows Server 2012 R2 erkennt den Browserbenutzer-Agent des Benutzers und verwendet eine konfigurierbare Einstellung, um zu bestimmen, ob dieser Benutzer-Agent die Windows-Authentifizierung unterstützt. Administratoren können dieser Liste von Benutzer-Agents (über den Windows PowerShell-Befehl Set-AdfsProperties -WIASupportedUserAgents ) hinzufügen, um alternative Benutzer-Agent-Zeichenfolgen für Browser anzugeben, die die Windows-Authentifizierung unterstützen. Wenn der Benutzer-Agent des Clients die Windows-Authentifizierung nicht unterstützt, ist die Standardfallbackmethode die Formularauthentifizierung.

Konfigurieren von MFA

Es gibt zwei Teile zum Konfigurieren von MFA in AD FS in Windows Server 2012 R2: Angeben der Bedingungen, unter denen MFA erforderlich ist, und Auswählen einer zusätzlichen Authentifizierungsmethode. Weitere Informationen zu zusätzlichen Authentifizierungsmethoden finden Sie unter Konfigurieren zusätzlicher Authentifizierungsmethoden für AD FS.

MFA-Einstellungen

Die folgenden Optionen stehen für MFA-Einstellungen zur Verfügung (Bedingungen, unter denen MFA erforderlich ist):

Sie können MFA für bestimmte Benutzer und Gruppen in der AD-Domäne anfordern, zu der Ihr Verbundserver beigetreten ist.
Sie können MFA entweder für registrierte (arbeitsplatzgefügte) oder nicht registrierte (nicht am Arbeitsplatz verbundene) Geräte anfordern.

Windows Server 2012 R2 verwendet einen benutzerorientierten Ansatz für moderne Geräte, bei denen Geräteobjekte eine Beziehung zwischen user@device und einem Unternehmen darstellen. Geräteobjekte sind eine neue Klasse in AD in Windows Server 2012 R2, die verwendet werden kann, um eine zusammengesetzte Identität bei der Bereitstellung des Zugriffs auf Anwendungen und Dienste zu bieten. Eine neue Komponente von AD FS – dem Geräteregistrierungsdienst (Device Registration Service, DRS) – stellt eine Geräteidentität in Active Directory bereit und legt ein Zertifikat auf dem Consumergerät fest, das zur Darstellung der Geräteidentität verwendet wird. Sie können diese Geräteidentität dann verwenden, um Ihr Gerät am Arbeitsplatz zu verknüpfen, d. h. um Ihr persönliches Gerät mit dem Active Directory Ihres Arbeitsplatzes zu verbinden. Wenn Sie Ihr persönliches Gerät mit Ihrem Arbeitsplatz verbinden, wird es zu einem bekannten Gerät und bietet eine nahtlose zweitstufige Authentifizierung für geschützte Ressourcen und Anwendungen. Anders ausgedrückt: Nachdem ein Gerät am Arbeitsplatz verbunden ist, ist die Identität des Benutzers an dieses Gerät gebunden und kann für eine nahtlose Verbundidentitätsüberprüfung verwendet werden, bevor auf eine geschützte Ressource zugegriffen wird.

Weitere Informationen zum Beitreten und Verlassen am Arbeitsplatz finden Sie unter "Join to Workplace from Any Device for SSO" und "Seamless Second Factor Authentication Across Company Applications".
Sie können MFA anfordern, wenn die Zugriffsanforderung für die geschützten Ressourcen entweder aus dem Extranet oder dem Intranet stammt.

Überblick über das Szenario

In diesem Szenario aktivieren Sie MFA basierend auf den Gruppenmitgliedschaftsdaten des Benutzers für eine bestimmte Anwendung. Mit anderen Worten: Sie richten eine Authentifizierungsrichtlinie auf Ihrem Verbundserver ein, um MFA zu verlangen, wenn Benutzer, die zu einer bestimmten Gruppe gehören, Zugriff auf eine bestimmte Anwendung anfordern, die auf einem Webserver gehostet wird.

Genauer gesagt aktivieren Sie in diesem Szenario eine Authentifizierungsrichtlinie für eine anspruchsbasierte Testanwendung namens claimapp, wobei der AD-Benutzer Robert Hatley MFA durchlaufen muss, da er zur AD-Gruppe Finance gehört.

Die schrittweisen Anleitungen zum Einrichten und Überprüfen dieses Szenarios finden Sie im exemplarischen Leitfaden: Verwalten von Risiken mit zusätzlicher mehrstufiger Authentifizierung für vertrauliche Anwendungen. Um die Schritte in dieser exemplarischen Vorgehensweise auszuführen, müssen Sie eine Lab-Umgebung einrichten und die Schritte in der Einrichtung der Lab-Umgebung für AD FS in Windows Server 2012 R2 ausführen.

Weitere Szenarien zum Aktivieren von MFA in AD FS sind die folgenden:

Aktivieren Sie MFA, wenn die Zugriffsanforderung aus dem Extranet stammt. Sie können den Code, der im Abschnitt "Einrichten der MFA-Richtlinie" des exemplarischen Leitfadens "Verwalten von Risiken mit zusätzlicher mehrstufiger Authentifizierung für vertrauliche Anwendungen" dargestellt wird, mit folgendem ändern:
```
'c:[type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn" );'
```
Aktivieren Sie MFA, wenn die Zugriffsanforderung von einem Nicht-Arbeitsplatz-verbundenen Gerät stammt. Sie können den Code, der im Abschnitt "Einrichten der MFA-Richtlinie" des exemplarischen Leitfadens "Verwalten von Risiken mit zusätzlicher mehrstufiger Authentifizierung für vertrauliche Anwendungen" dargestellt wird, mit folgendem ändern:
```
'NOT EXISTS([type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid"]) => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
```
Aktivieren Sie MFA, wenn der Zugriff von einem Benutzer mit einem Gerät stammt, das am Arbeitsplatz verbunden ist, aber nicht für diesen Benutzer registriert ist. Sie können den Code, der im Abschnitt "Einrichten der MFA-Richtlinie" des exemplarischen Leitfadens "Verwalten von Risiken mit zusätzlicher mehrstufiger Authentifizierung für vertrauliche Anwendungen" dargestellt wird, mit folgendem ändern:
```
'c:[type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", value == "false"] => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
```

Siehe auch

Exemplarische Vorgehensweise: Verwalten von Risiken mit zusätzlicher mehrstufiger Authentifizierung für vertrauliche Anwendungen Einrichten der Laborumgebung für AD FS in Windows Server 2012 R2

Freigeben über